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http://ok.ru 
Reports resolved Assets in scope Average bounty 
329 9 E 

Bug Bounty Program 


Launched on Jul 2015 


Includes retesting (2) Bounty splitting enabled (2) 


Policy — Hacktivity Thanks Updates (0) Collaborators 


Policy 
Program Rules 


We are currently offering rewards for vulnerability reports regarding Odnoklassniki web applications: 


e main portal (ok.ru); 

• mobile portal (m.ok.ru); 

e external widgets (connect.ok.ru); 
• API (api.ok.ru). 


If you have discovered a vulnerability in any other of our services, we would also appreciate your report, 
but the matter of a cash reward for such reports is reviewed individually and applies to critical 


vulnerabilities only. 


Exceptions to the Program 


At the moment we are not reviewing SSL and open redirect bugs unless they pose additional risks for our 


users. 


Report Requirements 


Please include a problem reproduction scenario or a proof of concept into your report. Automatically 


generated reports with no reproduction details will not be reviewed. 


Payment of Rewards 


If the reporter has exploited the vulnerability by targeting real users, or if any details about the vulnerability 


were disclosed by the reporter, they may be denied the reward. 


• основной версии портала (ok.ru); 

e мобильной версии портала (m.ok.ru); 
e внешних виджетов (connect.ok.ru); 

• АРІ (api.ok.ru). 


Если вы нашли уязвимость в других наших сервисах, мы также будем рады получить ваше 
сообщение и поблагодарить вас за это. Но решение о выплате денежного вознаграждения в 
таком случае будет приниматься в индивидуальном порядке и только для критичных проблем. 


Исключения из программы 


На данный момент мы не рассматриваем баги про SSL и сообщения об открытых редиректах, 
если в последних нет дополнительных факторов риска для пользователей. 


Пожелания к отчетам 


В сообщение об уязвимости, пожалуйста, включайте сценарий воспроизведения или proof of 
concept. Автоматически сгенерированные отчеты без деталей воспроизведения мы 
рассматривать не будем. 


Выплата вознаграждений 


Вознаграждение выплачивается первому исследователю, сообщившему о неизвестной ранее 
проблеме. 

В выплате вознаграждения будет отказано в случае эксплуатации уязвимости на реальных 
пользователях или разглашении любых деталей без предварительного согласования с нами. 


Last updated on March 14, 2017. View changes 


Scopes 
In Scope 
ok.ru 
Domain Apache Tomcat English Java JavaScript Nginx Critical Ө Fligible 
Russian TypeScript 
* ok.ru 
Domain Apache Tomcat English Java JavaScript Nginx Critical © Eligible 


Russian TypeScript 


Domain tamtam.chat Critical S Eligible 


ок.те 


Domain Apache Tomcat English Java JavaScript Nginx High Ө Eligible 
Russian 
Android: Pla 
y ru.ok.android Critical Ө Eligible 
Store 
Android: Play 
ru.ok.messages Critical Eligible 
Store 9 Ө 9 
iOS: App 
398465290 Critical Eligible 
Store © g 
iOS: А 
id 1095345669 Critical Ө Eligible 
Store 
Domain apiok.ru Low (5) Ineligible 
Out of Scope 
insideok.ru 
Domain 
Blog is developed and hosted by a third-party. 
Domain PENI 
retired 


Download Burp Suite Project Configuration file (14 URLs) View changes Last updated on December 16, 2020. 


Response Efficiency 


43% of reports 


Meet response standards 


Based on last 90 days 


Program Statistics 
Updated Daily 


$50 


Minimum bounty 


>$110,000 


Total bounties paid 


$500 - $2,000 


Тор bountv гапае 


57 


Reports received in the last 90 days 


15 days ago 


Last report resolved 


529 


Reports resolved 


559 


Hackers thanked 


Top hackers 






bagget 
Reputation:1764 


bohdansec 
Reputation:1116 


otuken 
Reputation:919 





iframe 
Reputation:701 


& 
ramzan 
Reputation:386 
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